呂宗平，戚 威,2+，顧兆軍,2

(1.中國(guó)民航大學(xué) 信息安全測(cè)評(píng)中心，天津 300300；2.中國(guó)民航大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，天津 300300)

0 引 言

攻擊樹模型是Schneier提出的一種圖形化的風(fēng)險(xiǎn)分析建模方法。攻擊樹使用樹狀結(jié)構(gòu)描述針對(duì)于某個(gè)系統(tǒng)的各種攻擊行為，是一種基于攻擊的、形式化分析系統(tǒng)和子系統(tǒng)安全風(fēng)險(xiǎn)的方法，在當(dāng)前有關(guān)的安全分析技術(shù)領(lǐng)域中被廣泛應(yīng)用[1-4]。傳統(tǒng)的攻擊樹模型只能對(duì)系統(tǒng)風(fēng)險(xiǎn)進(jìn)行定性的評(píng)估，難以量化?；诖?，眾多國(guó)內(nèi)外學(xué)者采用不同方法改良攻擊樹模型。張凱倫等[5]結(jié)合攻擊樹模型評(píng)估了WAMS通信系統(tǒng)的脆弱性，通過提出脆弱性靈敏度指標(biāo)，能夠定量分析出終端服務(wù)器脆弱性狀況對(duì)系統(tǒng)整體脆弱性的影響，但該方法在計(jì)算葉節(jié)點(diǎn)脆弱性時(shí)未給出漏洞權(quán)值的計(jì)算方式。李慧等[6]利用攻擊樹模型對(duì)數(shù)傳電臺(tái)傳輸安全性進(jìn)行了評(píng)估，然而在計(jì)算葉節(jié)點(diǎn)概率時(shí)并沒有給出安全屬性權(quán)值的計(jì)算公式，而是直接賦予一組特定值，該方法主觀性較強(qiáng)，不夠?qū)嶋H。黃慧萍等[7]采用攻擊樹模型對(duì)工控系統(tǒng)進(jìn)行建模，通過結(jié)合概率風(fēng)險(xiǎn)評(píng)估技術(shù)計(jì)算出了各葉節(jié)點(diǎn)和攻擊序列的發(fā)生概率，但是該方法并沒有給出安全屬性權(quán)值的計(jì)算方法。陳燕紅等[8]通過擴(kuò)展改造攻擊樹的節(jié)點(diǎn)信息，兼顧了不同層次目標(biāo)節(jié)點(diǎn)和葉節(jié)點(diǎn)權(quán)重、發(fā)生概率等的不同對(duì)模型的影響，最后對(duì)木馬程序加以識(shí)別判斷，該方法雖然列出了惡意性權(quán)值的計(jì)算公式，但并沒有給出具體的計(jì)算過程。何明亮等[9]采用層次分析法對(duì)傳統(tǒng)的攻擊樹模型加以改進(jìn)并對(duì)軍事信息系統(tǒng)進(jìn)行了威脅分析，該模型根據(jù)系統(tǒng)整體的特征結(jié)合層析分析法計(jì)算出了各安全屬性的權(quán)值，但該方法未充分考慮葉節(jié)點(diǎn)在安全屬性賦值時(shí)人的模糊性[10]，也未能充分考慮不同攻擊行為的特點(diǎn)對(duì)權(quán)重的影響，其對(duì)于判斷矩陣一致性的檢驗(yàn)也不夠合理[11]。

針對(duì)上述研究現(xiàn)狀，本文采用模糊層次分析法(FAHP)對(duì)攻擊樹模型進(jìn)行改進(jìn)，計(jì)算葉節(jié)點(diǎn)安全屬性權(quán)值時(shí)構(gòu)造模糊一致判斷矩陣，在盡可能消除人的主觀性因素的同時(shí)考慮不同攻擊行為對(duì)安全屬性權(quán)值的影響，進(jìn)而較為實(shí)際、合理地計(jì)算出權(quán)值向量?；谀：龑哟畏治龇ǖ墓魳淠Ｐ湍苓M(jìn)一步提高風(fēng)險(xiǎn)分析的科學(xué)性和準(zhǔn)確性。

1 攻擊樹模型基本概念

攻擊樹是多層的樹形結(jié)構(gòu)，包括了根節(jié)點(diǎn)、非葉節(jié)點(diǎn)、葉節(jié)點(diǎn)。在一棵攻擊樹中，樹的根節(jié)點(diǎn)表示攻擊者最終要實(shí)現(xiàn)的攻擊目標(biāo)；非葉節(jié)點(diǎn)表示要實(shí)現(xiàn)最終目標(biāo)須完成的中間步驟；葉節(jié)點(diǎn)表示具體的攻擊行為和方法。攻擊樹的每一條分支表示為達(dá)到最終目標(biāo)可能采取的一條路徑。攻擊樹的節(jié)點(diǎn)之間具有以下3種關(guān)系：“或(OR)”關(guān)系、“與(AND)”關(guān)系、“順序與(SAND)”關(guān)系。“或(OR)”關(guān)系表示任意子節(jié)點(diǎn)的攻擊目標(biāo)被實(shí)現(xiàn)，其父節(jié)點(diǎn)的目標(biāo)也會(huì)實(shí)現(xiàn)；“與(AND)”關(guān)系表示所有子節(jié)點(diǎn)的攻擊目標(biāo)被實(shí)現(xiàn)，其父節(jié)點(diǎn)的目標(biāo)才會(huì)實(shí)現(xiàn)；“順序與(SAND)”關(guān)系表示所有子節(jié)點(diǎn)的攻擊目標(biāo)按順序?qū)崿F(xiàn)，其父節(jié)點(diǎn)的目標(biāo)才會(huì)實(shí)現(xiàn)。如圖1所示為攻擊樹模型中的節(jié)點(diǎn)關(guān)系。

圖1 攻擊樹節(jié)點(diǎn)關(guān)系

一棵攻擊樹的構(gòu)建需要從發(fā)生的某項(xiàng)安全事件反向推理。首先由相關(guān)的技術(shù)人員對(duì)系統(tǒng)進(jìn)行細(xì)致分析，將攻擊事件中最終的攻擊目標(biāo)作為攻擊樹的根節(jié)點(diǎn)，將根節(jié)點(diǎn)實(shí)現(xiàn)所須完成的中間步驟作為其子節(jié)點(diǎn)并且用圖1所示的節(jié)點(diǎn)關(guān)系表示，隨后使用相同的方法對(duì)每個(gè)子節(jié)點(diǎn)進(jìn)行擴(kuò)展，直到無法繼續(xù)擴(kuò)展，不能繼續(xù)擴(kuò)展的葉節(jié)點(diǎn)代表具體的攻擊行為和方法。

本文利用攻擊樹模型和模糊層次分析法對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析的流程如圖2所示。

圖2 基于模糊層次分析法的攻擊樹模型風(fēng)險(xiǎn)分析流程

2 基于模糊層次分析法的攻擊樹模型

在對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析的過程中，系統(tǒng)發(fā)生風(fēng)險(xiǎn)的概率往往會(huì)受到多方面因素的影響。例如一名攻擊者試圖攻擊飛機(jī)的機(jī)載娛樂系統(tǒng)，就需要考慮攻擊目標(biāo)過程中所需的成本、難度和被發(fā)現(xiàn)的可能性3個(gè)方面。然而，如果要精確計(jì)算出攻擊事件發(fā)生的概率，就需要結(jié)合具體的攻擊行為對(duì)這幾種安全屬性的權(quán)重進(jìn)行評(píng)判、量化。本文采用模糊層次分析法(FAHP)對(duì)各葉節(jié)點(diǎn)安全屬性的權(quán)值進(jìn)行定量計(jì)算，在盡可能消除評(píng)判過程中模糊性的同時(shí)兼顧了不同攻擊行為和系統(tǒng)自身的特點(diǎn)。

2.1 攻擊樹葉節(jié)點(diǎn)的指標(biāo)量化

為求得攻擊樹葉節(jié)點(diǎn)的實(shí)現(xiàn)概率，需要對(duì)葉節(jié)點(diǎn)賦予一定的指標(biāo)并進(jìn)行量化。本文采用與文獻(xiàn)[9]相同的方法對(duì)每個(gè)葉節(jié)點(diǎn)賦予3個(gè)安全屬性：攻擊成本、攻擊難度和攻擊被發(fā)現(xiàn)的可能性。計(jì)算葉節(jié)點(diǎn)實(shí)現(xiàn)概率的公式為

Pi=Wcost×Ucosti+Wdiff×Udiffi+Wdet×Udeti

(1)

式中：每一項(xiàng)的具體含義請(qǐng)參見文獻(xiàn)[9]。而對(duì)于3個(gè)安全屬性的效用值，本文采用如表1所示的等級(jí)評(píng)分標(biāo)準(zhǔn)對(duì)其進(jìn)行評(píng)估。實(shí)際應(yīng)用過程中，專家組需對(duì)每個(gè)葉節(jié)點(diǎn)的3個(gè)安全屬性分別進(jìn)行評(píng)判并給出它們的等級(jí)得分。

表1 等級(jí)評(píng)分標(biāo)準(zhǔn)

通過分析可知，葉節(jié)點(diǎn)安全屬性的效用值與其自身的等級(jí)得分成反比例關(guān)系，即對(duì)應(yīng)關(guān)系為Ux=c/x，其中c為常數(shù)。

2.2 計(jì)算安全屬性權(quán)值

計(jì)算葉節(jié)點(diǎn)實(shí)現(xiàn)概率的關(guān)鍵在于其安全屬性權(quán)值的確定。由于攻擊成本、攻擊難度和攻擊被發(fā)現(xiàn)的可能性這3個(gè)安全屬性的權(quán)值不盡相同，因此就需要結(jié)合葉節(jié)點(diǎn)自身所代表的攻擊行為對(duì)這3個(gè)安全屬性的權(quán)重進(jìn)行評(píng)判、比較、量化。下面采用FAHP來計(jì)算葉節(jié)點(diǎn)的安全屬性權(quán)值。

FAHP使用特定的尺度表對(duì)元素兩兩比較構(gòu)造出模糊判斷矩陣，再將不符合一致性的模糊判斷矩陣轉(zhuǎn)化為模糊一致判斷矩陣，最后利用模糊一致判斷矩陣求出各元素相對(duì)重要性的權(quán)值。本文使用0.1-0.9比較尺度表對(duì)元素進(jìn)行兩兩比較，見表2。

表2 比較尺度

根據(jù)上面的尺度表，即可得到模糊判斷矩陣R

使用如下的性質(zhì)對(duì)模糊判斷矩陣進(jìn)行一致性檢驗(yàn)

(2)

采用最小二乘法對(duì)模糊一致判斷矩陣R′進(jìn)行歸一化處理，得到各安全屬性的權(quán)值向量Wi

(3)

(4)

對(duì)于屬性效用值Ux=c/x，由于常數(shù)c的值對(duì)葉節(jié)點(diǎn)實(shí)現(xiàn)概率無直接影響，因此本文為方便計(jì)算，取c=1。將Wi與Ux的值代入式(1)即可求得葉節(jié)點(diǎn)實(shí)現(xiàn)概率Pi。

2.3 計(jì)算根節(jié)點(diǎn)實(shí)現(xiàn)概率

根節(jié)點(diǎn)的實(shí)現(xiàn)概率代表一次完整攻擊事件的實(shí)現(xiàn)概率，計(jì)算根節(jié)點(diǎn)的實(shí)現(xiàn)概率需要對(duì)攻擊樹模型進(jìn)行自下而上的推理，先計(jì)算出攻擊樹每一層各個(gè)節(jié)點(diǎn)的實(shí)現(xiàn)概率，最后計(jì)算出根節(jié)點(diǎn)的實(shí)現(xiàn)概率。有以下3種情況：

(1)對(duì)于具有或(OR)關(guān)系的節(jié)點(diǎn)，其父節(jié)點(diǎn)的實(shí)現(xiàn)概率為各個(gè)子節(jié)點(diǎn)實(shí)現(xiàn)概率中的最大值

Pn=max{Pn1,Pn2,…,Pnn}

(5)

(2)對(duì)于具有與(AND)關(guān)系的節(jié)點(diǎn)，其父節(jié)點(diǎn)的實(shí)現(xiàn)概率為各個(gè)子節(jié)點(diǎn)的實(shí)現(xiàn)概率之積

Pn=Pn1×Pn2×…×Pnn

(6)

(3)對(duì)于具有順序與(SAND)關(guān)系的節(jié)點(diǎn)，其父節(jié)點(diǎn)的實(shí)現(xiàn)概率可以表示為

Pn=Pn1×P(n2|n1)×P(n3|n1n2)×…×P(nn|n1n2…nn)

(7)

2.4 計(jì)算攻擊序列實(shí)現(xiàn)概率

攻擊序列表示一組攻擊行為的集合，即攻擊樹中一組葉節(jié)點(diǎn)的集合。當(dāng)這些葉節(jié)點(diǎn)所代表的攻擊行為被實(shí)現(xiàn)，攻擊樹根節(jié)點(diǎn)就會(huì)被實(shí)現(xiàn)，也就完成了一次攻擊事件。一個(gè)攻擊序列可以表示為：Si=(N1,N2,…,Nn)，其實(shí)現(xiàn)概率為

PSi=PN1×PN2×…×PNn

(8)

3 案例分析

本章采用上述方法對(duì)民航機(jī)載娛樂系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析。

3.1 機(jī)載娛樂系統(tǒng)

機(jī)載娛樂系統(tǒng)(IFE)是航空公司為滿足乘客娛樂需求而配備在飛機(jī)客艙中的一種信息系統(tǒng)，它能為乘客提供包括音頻、視頻、WiFi等在內(nèi)的多種娛樂方式，也是飛機(jī)上最開放且直接面向普通乘客的信息系統(tǒng)。近年來，隨著民航客機(jī)電子化水平的不斷提高，機(jī)載娛樂系統(tǒng)逐步脫離了封閉的客艙網(wǎng)絡(luò)環(huán)境，在技術(shù)、功能等各個(gè)方面均發(fā)生了變化，甚至可以連接處于客艙外部的互聯(lián)網(wǎng)。這些信息化技術(shù)的運(yùn)用也為飛機(jī)的飛行安全帶來了新的威脅，如果不法分子利用機(jī)載娛樂系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配置、部署等各個(gè)環(huán)節(jié)的漏洞對(duì)系統(tǒng)發(fā)起攻擊，將可能導(dǎo)致飛機(jī)被劫持等嚴(yán)重的航空安全事件的發(fā)生。圖3是一種機(jī)載娛樂系統(tǒng)的網(wǎng)絡(luò)示意圖。

圖3 機(jī)載娛樂系統(tǒng)網(wǎng)絡(luò)拓?fù)?/p>

3.2 對(duì)機(jī)載娛樂系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析

機(jī)載娛樂系統(tǒng)當(dāng)中，機(jī)載娛樂服務(wù)器是最核心的資產(chǎn)。由于機(jī)載娛樂系統(tǒng)通過總線控制單元與飛機(jī)其它系統(tǒng)產(chǎn)生交聯(lián)，因此一旦機(jī)載娛樂服務(wù)器被入侵，攻擊者就有可能向飛機(jī)其它信息系統(tǒng)橫向滲透，這也是最嚴(yán)重的攻擊行為。本文以獲取機(jī)載娛樂服務(wù)器訪問權(quán)限為例構(gòu)造攻擊樹模型。

獲取機(jī)載娛樂服務(wù)器訪問權(quán)限有以下幾種方式：①通過客艙座椅顯示單元進(jìn)行攻擊；②通過機(jī)組控制面板進(jìn)行攻擊；③通過機(jī)載無線網(wǎng)絡(luò)管理終端進(jìn)行攻擊；④通過接入客艙無線網(wǎng)絡(luò)進(jìn)行攻擊等。圖4為獲取機(jī)載娛樂服務(wù)器訪問權(quán)限的攻擊樹模型，表3為該攻擊樹根節(jié)點(diǎn)、非葉節(jié)點(diǎn)、葉節(jié)點(diǎn)所代表的含義。

圖4 獲取機(jī)載娛樂服務(wù)器訪問權(quán)限的攻擊樹模型

節(jié)點(diǎn)符號(hào)含義G獲取機(jī)載娛樂服務(wù)器訪問權(quán)限M1通過客艙座椅顯示單元進(jìn)行攻擊M2通過機(jī)組控制面板進(jìn)行攻擊M3通過無線管理終端進(jìn)行攻擊M4接入客艙無線網(wǎng)絡(luò)進(jìn)行攻擊M5獲取管理員賬戶口令M6獲取管理員賬戶口令E1利用應(yīng)用程序漏洞執(zhí)行系統(tǒng)命令E2利用應(yīng)用程序漏洞執(zhí)行系統(tǒng)命令E3利用應(yīng)用程序漏洞執(zhí)行系統(tǒng)命令E4對(duì)網(wǎng)絡(luò)進(jìn)行掃描探測(cè)E5暴力破解E6社會(huì)工程學(xué)攻擊E7暴力破解E8社會(huì)工程學(xué)攻擊

運(yùn)用表1所示的等級(jí)評(píng)分標(biāo)準(zhǔn)對(duì)該攻擊樹中各葉節(jié)點(diǎn)的安全屬性值進(jìn)行打分，結(jié)果見表4。

表4 各葉節(jié)點(diǎn)屬性得分

采用模糊層次分析法對(duì)每個(gè)葉節(jié)點(diǎn)的安全屬性權(quán)重進(jìn)行評(píng)判、比較，得到它們的模糊判斷矩陣

不滿足一致性條件的模糊判斷矩陣使用式(2)轉(zhuǎn)換為模糊一致判斷矩陣，隨后根據(jù)式(4)計(jì)算得到所有葉節(jié)點(diǎn)的安全屬性權(quán)重向量為

i=1,2…,8.

將上述各值代入式(1)，得出各葉節(jié)點(diǎn)代表的攻擊行為實(shí)現(xiàn)概率，結(jié)果見表5。

表5 各葉節(jié)點(diǎn)實(shí)現(xiàn)概率

基于表5的數(shù)據(jù)，利用式(5)計(jì)算攻擊樹根節(jié)點(diǎn)的實(shí)現(xiàn)概率為PG=0.470。

由于該攻擊樹模型中只有“或(OR)”關(guān)系節(jié)點(diǎn)，因此每個(gè)葉節(jié)點(diǎn)即代表一組攻擊序列，共有8組：S1=(E1)，S2=(E2)，S3=(E3)，S4=(E4)，S5=(E5)，S6=(E6)，S7=(E7)，S8=(E8)。根據(jù)式(8)得到這8組攻擊序列的實(shí)現(xiàn)概率見表6。

表6 各攻擊序列實(shí)現(xiàn)概率

由表6可知，在獲取機(jī)載娛樂服務(wù)器訪問權(quán)限的攻擊樹模型中，攻擊序列S4和S1實(shí)現(xiàn)的概率較大，因此攻擊者極有可能通過客艙座椅顯示單元和客艙無線網(wǎng)絡(luò)對(duì)機(jī)載娛樂服務(wù)器發(fā)起攻擊，在制定機(jī)載網(wǎng)絡(luò)安保方案時(shí)應(yīng)給予重點(diǎn)關(guān)注。

3.3 對(duì)比分析

為驗(yàn)證本文方法較文獻(xiàn)[9]的方法有較高的可信度，采用文獻(xiàn)[9]的方法同樣對(duì)機(jī)載娛樂系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析。計(jì)算出攻擊樹各葉節(jié)點(diǎn)的實(shí)現(xiàn)概率和攻擊序列的實(shí)現(xiàn)概率，分別見表7、表8。

表7 各葉節(jié)點(diǎn)實(shí)現(xiàn)概率

表8 各攻擊序列實(shí)現(xiàn)概率

可以看出，利用文獻(xiàn)[9]的方法計(jì)算出的結(jié)果雖能找到可能性最高的攻擊行為和攻擊序列，但沒有考慮到系統(tǒng)的實(shí)際情況。例如攻擊序列S5和S7由于采用的攻擊方式被發(fā)現(xiàn)的可能性非常高，其實(shí)現(xiàn)概率應(yīng)當(dāng)較低，而表8中出現(xiàn)偏高的情況。同時(shí)，因該方法在確定葉節(jié)點(diǎn)安全屬性權(quán)值時(shí)人為的指定了攻擊成本、攻擊難度和攻擊被發(fā)現(xiàn)的可能性這3個(gè)安全屬性重要性的高低，具有較強(qiáng)的主觀性的因素，也未考慮不同攻擊行為對(duì)安全屬性權(quán)重的影響，這使得計(jì)算出的各葉節(jié)點(diǎn)實(shí)現(xiàn)概率和攻擊序列實(shí)現(xiàn)概率總體偏高，導(dǎo)致其結(jié)果可信度降低。

采用表6和表8的數(shù)據(jù)繪制出本文方法和文獻(xiàn)[9]方法的結(jié)果對(duì)比如圖5所示。綜合對(duì)比可知，本文提出的方法兼顧了系統(tǒng)自身和葉節(jié)點(diǎn)攻擊行為的特點(diǎn)，計(jì)算出的葉節(jié)點(diǎn)實(shí)現(xiàn)概率和攻擊序列實(shí)現(xiàn)概率總體呈現(xiàn)出平穩(wěn)的態(tài)勢(shì)，實(shí)現(xiàn)可能性較大的攻擊行為和攻擊序列均能被清晰反映出來，具備了較高的可信度，能真實(shí)反映出機(jī)載娛樂系統(tǒng)所面臨的風(fēng)險(xiǎn)狀況。

圖5 本文方法與文獻(xiàn)[9]方法結(jié)果對(duì)比

4 結(jié)束語

本文研究了一種基于模糊層次分析法(FAHP)的攻擊樹模型，通過結(jié)合不同的攻擊行為構(gòu)造模糊一致判斷矩陣對(duì)攻擊樹各個(gè)葉節(jié)點(diǎn)的屬性權(quán)重進(jìn)行評(píng)判比較，在盡可能消除主觀性因素的同時(shí)保證了結(jié)果的高可信度。本方法能考慮到被評(píng)估系統(tǒng)的實(shí)際情況，計(jì)算出的攻擊事件實(shí)現(xiàn)概率也更加真實(shí)，能夠?qū)π畔⑾到y(tǒng)網(wǎng)絡(luò)安保方案的制定起到很大的幫助作用。但由于葉節(jié)點(diǎn)安全屬性值采用了專家打分的方法，本方法依然無法完全擺脫主觀因素的影響，下一步的工作重點(diǎn)是研究如何客觀地確定葉節(jié)點(diǎn)安全屬性值。例如針對(duì)不同的信息系統(tǒng)可以采取滲透測(cè)試、系統(tǒng)日志數(shù)據(jù)分析的方式確定攻擊行為的安全屬性值，以此來降低對(duì)攻擊事件實(shí)現(xiàn)概率的影響。

參考文獻(xiàn)：

[1]Peters W,Davarynejad M.Calculating adversarial risk from attack trees:Control strength and probabilistic attackers[M]//Data Privacy Managment,Autonomous Spontaneous Security,and Security Assurance.Springer,2015:201-215.

[2]Gadyatskaya O,Jhawar R,Kordy P,et al.Attack trees for practical security assessment:Ranking of attack scenarious with ADTool 2.0[M]//Quantitative Evaluation of Systems.Springer,2016,91(3):448-456.

[3]ZHAO Shuai.Research on attack tree based on Android malware detection with hybird analysis[D].Tianjin:Tianjin University,2014(in Chinese).[趙帥.基于攻擊樹的Android惡意軟件混合檢測(cè)方法研究[D].天津:天津大學(xué),2014.]

[4]JIA Wei.Research and implementation of WLAN attack effect evluvation[D].Beijing:Beijing University of Posts and Telecommunications,2015(in Chinese).[賈薇.無線局域網(wǎng)攻擊效果評(píng)估技術(shù)研究與實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2015.]

[5]ZHANG Kailun,JIANG Quanyuan.Vulnerability assessment on WAMS communication system based on attack tree model[J].Power System Protection and Control,2013,41(7):116-122(in Chinese).[張凱倫,江全元.基于攻擊樹模型的WAMS通信系統(tǒng)脆弱性評(píng)估[J].電力系統(tǒng)保護(hù)與控制,2013,41(7):116-122.]

[6]LI Hui,ZHANG Ru,LIU Jianyi,et al.Safety assessment on digital radio transmission based on attack tree model[J].Ne-tinfo Security,2014(8):71-76(in Chinese).[李慧,張茹,劉建毅,等.基于攻擊樹模型的數(shù)傳電臺(tái)傳輸安全性評(píng)估[J].信息網(wǎng)絡(luò)安全,2014(8):71-76.]

[7]HUANG Huiping,XIAO Shide,MENG Xiangyin.Atack tree-based method for asesing cyber security risk of industrial control system[J].Aplication Research of Computers,2015,32(10):3032-3035(in Chinese).[黃慧萍,肖世德,孟祥印.基于攻擊樹的工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估[J].計(jì)算機(jī)應(yīng)用研究,2015,32(10):3032-3035.]

[8]CHEN Yanhong,OU Yuyi,LING Jie.An improved Trojans detection method based on extended attack tree model[J].Computer Applications and Softwares,2016,33(8):308-311(in Chinese).[陳燕紅,歐毓毅,凌捷.一種改進(jìn)的基于擴(kuò)展攻擊樹模型的木馬檢測(cè)方法[J].計(jì)算機(jī)應(yīng)用與軟件,2016,33(8):308-311.]

[9]HE Mingliang,CHEN Zemao,LONG Xiaodong.Improvement of attack tree model based on analytic hierarchy process[J].Application Research of Computers,2016,33(12):3755-3758(in Chinese).[何明亮,陳澤茂,龍小東.一種基于層次分析法的攻擊樹模型改進(jìn)[J].計(jì)算機(jī)應(yīng)用研究,2016,33(12):3755-3758.]

[10]ZHANG Li,PENG Jianfen,DU Yuge,et al.Information security risk assessment survey[J].Journal of Tsinghua University(Science and Technology),2012(10):1364-1369(in Chinese).[張利,彭建芬,杜宇鴿,等.信息安全風(fēng)險(xiǎn)評(píng)估的綜合評(píng)估方法綜述[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版),2012(10):1364-1369.]

[11]JIANG Fan.Study on incosistency of fuzzy analytic hierarchy process[D].Beijing:North China Electric Power University,2015(in Chinese).[姜帆.模糊層次分析法不一致性問題研究[D].北京:華北電力大學(xué),2015.]